【活動j結束 獲獎名單公布】從近期互聯(lián)網(wǎng)企業(yè)密碼泄露探討如何構建一個安全的系統(tǒng)

yanyangtian4502

這就不清楚了！
很多公司關注商業(yè)計劃，因為他們關注在如何運營上面，東西出來就OK！甚至很多IT公司的介紹站點都是外包的！
回復 40# realmon


   

xylophone21

我并不認為sina，csdn這些網(wǎng)站的技術人員里，連一個知道至少要用hash保存密碼的人都沒有。
也不認為他們中的哪怕一個初級程序員會認為把密碼hash一下會很難實現(xiàn)。

但是他們?yōu)槭裁礇]有做呢？是不是有國際反華勢力逼迫他們必須明文存密碼呢？解決了這個問題就能構建一個相對安全的系統(tǒng)。

xylophone21

不小心重復了，刪掉。

wfcjz

汪洋

封疆大吏還寫書！而且是IT技術方面的書！

bbjmmj

LINUX上保存的數(shù)據(jù)完全有辦法做到人類科技無法破解，加密比做網(wǎng)站容易得多吧？
我最奇怪的是密碼為什么要明文保存？還有什么要求明文保存？

yanyangtian4502

封疆大吏?這是從何說起啊��？回復 44# wfcjz


   

wfcjz

開個玩笑，汪洋現(xiàn)在在中國政壇很火呀！不過不是一個人！

yanyangtian4502

呵呵，你是說的廣東省委書記把？！呵呵回復 47# wfcjz


   

broadway2008

個人感覺hash叫取樣算法更合適，因為取樣時有損失的，是不可逆的，加密算法怎么也得有個解密算法才合適這樣稱呼吧！
哈希就是一種散列函數(shù)，只是一個單項函數(shù)而已，并不是什么加密算法，首先加密的話，那其密鑰是什么呢？hash中文就叫散列，散列算法從來就不是加密算法，只不過是被用于hash密碼比對所以誤傳的，充其量也只能成為加密算法中的一個構成部分罷了。

國內(nèi)現(xiàn)在的論壇網(wǎng)站幾乎都有對密碼加密，而且有很多采用的是md5方法。到今天在很多人眼里md5加密方法還是很安全的，因為它不能解密，這是確實的，但是hash方法比md5方法更加具有安全性。

傳統(tǒng)的md5方法就是幾個函數(shù)的組合，最終調用這句話就實現(xiàn)加密了：md5(encodestr)，其中的encodestr與md5(encodestr)是一一對應的，也就是說一個encodestr對應一個md5(encodestr)。而hash方法卻不是一一對應的關系，而是一對多的關系。之所以是一對多的關系，就是因為加密方法與md5不同。

簡單的說，單從md5函數(shù)和hashencode函數(shù)來說，除了加密算法不一樣，其他都是一樣的，都是單向加密，不能解密。但是hash方法并不是像md5方法那樣直接加密字符串，而是先對字符串進行一些處理，然后再加密。這個先做的處理就是根據(jù)要加密字符串的長度生成一個隨機salt值，然后用這個salt值與要加密的字符串一同進行加密，并且把salt值與一同加密后的值都存入數(shù)據(jù)庫中；在驗證上，md5方法是將用戶提交的字符先進行md5加密，然后與數(shù)據(jù)庫中加密后的字符相比，如果相同則通過驗證，否則不通過驗證。而hash方法則是先從數(shù)據(jù)庫中讀取salt值，然后用salt值與用戶提交的字符相結合進行hash加密，再與數(shù)據(jù)庫中的加密后字符比較，相同則通過，否則不通過。

其實如果我們說md5是一次加密里最具有安全性的，那么我們可以說hash方法是對一次加密的又一次加密，也就是說是二次加密，因此從理論上來說比md5方法更加安全。當然這也不是絕對的，道高一尺魔高一丈，這次網(wǎng)絡用戶賬號大規(guī)模泄密事件說明了網(wǎng)站后臺還需要不斷從技術上提升加密算法的安全性，我想這方面淘寶之類的電子商務網(wǎng)站和網(wǎng)銀系統(tǒng)就做得比較好，呵呵，一家之言吧。

yanyangtian4502

在前面的一些帖子中,我們一起聊了一些有關散列的問題,也說明了散列很適合用來驗證數(shù)據(jù)的完整性,因為散列都是單向的.如果我要對確保數(shù)據(jù)的安全和有效，那么，加密也是一個很重要的手段。

在加密的時候，常常需要一個key，我們可以把這個key、看成是算法需要的一些引子，這個key決定了加密算法的輸出。即，不同的key，采用相同的算法，加密相同的數(shù)據(jù)，但是加密后的結果是不一樣的。

很多時候，我都需要將key私密保存。
下面我們就具體的談談兩種常見的加密方式：對稱加密，非對稱加密